Guida alla Strong Authentication via SMS
Transcript of Guida alla Strong Authentication via SMS
STRONG AUTHENTICATION VIA SMSCome aumentare sicurezza e privacyin modo semplice e a basso costo
2
Cos’è la Strong Authentication
L’SMS come strumento di Strong Authentication
Esempi di utilizzo dell’SMS come Strong Authentication
Requisiti tecnici della Strong Authentication via SMS
Il Gateway di Skebby
Agenda
Strong Authentication via SMS
3
Strong AuthenticationLa Strong Authentication
Strong Authentication via SMS
E’ il sistema di autenticazione su più livelli (2FA) che serve per:
• Verificare l’identita degli utenti
• Garantire privacy
• Massimizzare sicurezza
• Diminuire i rischi di frodi
4
Come viene comunementeutilizzata la Strong Authentication
Strong Authentication via SMS
Criterio statico (Username)
Password
Codice dinamico
OTP (One Time Password)
La Strong Authentication
5
OTP (One Time Password)
Strong Authentication via SMS
L’OTP, al contrario della password statica, non e vulnerabile dagli attacchi di replica.
Inizialmente i mezzi più diffusi per questo tipo di operazione erano: la chiavetta token e/o la chiamata telefonica. Recentemente un numero crescete di imprese ha iniziato ad utilizzare l’SMS per la Strong Authentication degli utenti.
La Strong Authentication
6
Perchè l’SMS come strumento diStrong AuthenticationIl pianeta sta diventando sempre più mobile.. …ed il mobile sta diventando l’interfaccia
primaria di interazione con il consumatore
• 6 miliardi di telefoni cellulari nel mondo
• 4,3 miliardi di utenti mobile attivi nel 2014
• 1 miliardo di utenti smartphone
• 65% degli utenti smartphone portano il telefono a letto
• 25% degli utenti iPhone pensano che il telefono sia un estensione del proprio corpo
eMarketer – January 2014 The New Research Center
Strong Authentication via SMS
La Strong Authentication
7
L’SMS è uno strumento moltoutilizzato dalle aziende in Italia…
Mercato Bulk SMS in ItaliaMiliardi di SMS, 2011-2013
Fonte: Osservatorio Mobile Marketing & Service di Politecnico di Milano
2011 2012 2013
1.5
1.9
2.2
+24%
+15%
Strong Authentication via SMS
La Strong Authentication
8
…e nel mondo
Fonte: Portio Research LTD
Mercato mondiale Bulk SMS A2P e P2A, Miliardi di $, 2010-2017
2010 2011 2012 2013 2014
33.6
39.844.3
48.250.4
Strong Authentication via SMS
La Strong Authentication
9
Cos’è la Strong Authentication
L’SMS come strumento di Strong Authentication
Esempi di utilizzo dell’SMS come Strong Authentication
Requisiti tecnici della Strong Authentication via SMS
Il Gateway di Skebby
Agenda
Strong Authentication via SMS
10
Come funziona la Strong Authentication via SMS
L’SMS come strumento di Strong Authentication
① L’utente inserisce il numero di cellulare all’interno dell’interfaccia web dell’azienda
② I sistemi dell’azienda generano una OTP che viene inoltrata all’utente via SMS
③ L’utente riceve la OTP via SMS e la inserisce sull’interfaccia web autenticandosi
① .
② .
③ .
Strong Authentication via SMS
11
Generazione dipassword dispositive “usa e getta”
L’SMS come strumento di Strong Authentication
Strong Authentication via SMS
① L’utente inserisce il proprio numero di cellulare sul portale della banca② In quel momento sul telefono vera inviato un SMS con la password “usa e getta” (OTP) ③ L’utente inserira l’OTP ricevuta via SMS per autorizzare la disposizione
① . ② . ③ .
12
Autenticazione utentiper accesso a dati sensibili e per la sicurezza
L’SMS come strumento di Strong Authentication
Strong Authentication via SMS
CHAT APPIl tuo codice di validazione è : 1234
SMS
① .
② .
③ .
① L’utente inserisce il numero di cellulare all’interno dell’App mobile② Riceve un SMS con il codice da inserire nell’App③ Inserisci il codice nell’App per confermare il numero di telefono
13
Validazione utenti e listedei clienti (database)
L’SMS come strumento di Strong Authentication
Strong Authentication via SMS
① L’utente inserisce il proprio numero di cellulare sul portale web② In quel momento sul telefono vera inviato un SMS con il PIN di verifica③ L’utente inserira il PIN ricevuto via SMS per autorizzare l’utente
① . ② . ③ .
14
Cos’è la Strong Authentication
L’SMS come strumento di Strong Authentication
Esempi di utilizzo dell’SMS come Strong Authentication
Requisiti tecnici della Strong Authentication via SMS
Il Gateway di Skebby
Agenda
Strong Authentication via SMS
15
Generazione dipassword dispositive “usa e getta”
Esempi di utilizzo dell’SMS come Strong Authentication
CheBanca! ha creato il proprio sistema di Strong Authentication via SMS per confermare le operazioni attraverso il sistema di OTP (One Time Password).
Strong Authentication via SMS
16
Autenticazione utentiper accesso a dati sensibili
Esempi di utilizzo dell’SMS come Strong Authentication
Regione Lombardia ha creato un portale web che permette al cittadino di consultare il proprio Fascicolo Sanitario Elettronico (FSE), la cartella sanitaria on line con le informazioni mediche e i documenti clinici
① . ② . ③ .
Strong Authentication via SMS
17
Autenticazione utentiper sicurezza identita utenti
Esempi di utilizzo dell’SMS come Strong Authentication
Come gli altri sistemi di messaggistica istantanea, anche Whichapp utilizzala Strong Authentication per identificare l’utente associandolo alla SIM / telefono cellulare attraverso l’invio di un SMS con codice di verifica.
① . ② . ③ .
Strong Authentication via SMS
18
Validazione utentie liste dei clienti (database)
Esempi di utilizzo dell’SMS come Strong Authentication
① . ② . ③ .
Strong Authentication via SMS
Il sistema di ING Direct associa un numero di cellulare per ogni account durante il processo di iscrizione dei clienti.Il sistema oltre a validare l’utente, verifica che ogni utente possieda un numero di cellulare al fine di eliminare gli account duplicati.
19
Cos’è la Strong Authentication
L’SMS come strumento di Strong Authentication
Esempi di utilizzo dell’SMS come Strong Authentication
Requisiti tecnici della Strong Authentication via SMS
Il Gateway di Skebby
Agenda
Strong Authentication via SMS
20
Immediatezza egaranzia della consegna
Requisiti tecnici della Strong Authentication via SMS
Strong Authentication via SMS
L’immediatezza e la garanzia di consegna dell’SMS sono parametri fondamentali per poter garantire il corretto funzionamento dei sistemi di Strong Authentication via SMS.
Elementi fondamentali:• Tassi di consegna elevati• Rapidita di consegna
21
Notifica diconsegna dei messaggi
Requisiti tecnici della Strong Authentication via SMS
Strong Authentication via SMS
L’SMS potrebbe non venire recapitato dall’operatore mobile.Il sistema deve consegnare l’esito dell’invio (Delivery Report o DLR) ed il tipo di errore in modo che l’azienda possa decidere come procedere con il processo di autenticazione
• Stato di consegna
22
Scadenzadel messaggio
Requisiti tecnici della Strong Authentication via SMS
Strong Authentication via SMS
Il periodo di scadenza, solitamente standard (48 ore) deve poter essere essere configurato ad intervalli ridotti(3 minuti). Se l’SMS con OTP non venisse consegnato, l’azienda potra procedere con l’inoltro di un nuovo messaggio con una nuova OTP
• Cancellazione vecchio messaggio• Generazione nuova OTP• Invio nuovo messaggio con OTP
23
Cos’è la Strong Authentication
L’SMS come strumento di Strong Authentication
Esempi di utilizzo dell’SMS come Strong Authentication
Requisiti tecnici della Strong Authentication via SMS
Il Gateway di Skebby
Agenda
Strong Authentication via SMS
24
Il Gateway di Skebby Il Gateway di Skebby
Strong Authentication via SMS
SMS Gateway è la piattaforma che consente di inviare e ricevere SMS online direttamente dai sistemi aziendali tramite API e usando i principali linguaggi di programmazione.
25
Caratteristiche del servizio Il Gateway di Skebby
Strong Authentication via SMS
• Capacita’ inoltro SMS verso operatori, minima garantita: 200SMS/s • Sicurezza: collegamenti cifrati a 128 bit SSL via HTTPS • Invio multipli massivo fino 100.000 numeri con singola richiesta • Personalizzazione del mittente con diverse opzioni • Definizione del periodo di scadenza messaggio (da 3 min fino a 48 ore) • Tracciabilita’ dello stato di consegna SMS e degli errori per messaggio • Reportistica degli SMS inviati, consegnati e degli errori su web/mail • SMS lunghi: fino 1530 caratteri (o 10 messaggi concatenati) • Ricezione risposte agli SMS inviati • Personalizzazione del testo per singolo destinatario con variabili dinamici • Spedizioni programmate/ripetute • Invio di SMS anche tramite client/server e-mail (SMTP)
26
Performance del Gateway SMSSkebby nei processi di Strong Authentication
Il Gateway di Skebby
Strong Authentication via SMS
Lombardia Informatica (l’IT della Regione Lombardia) ha valutato la piattaforma SMS Skebby rispetto a quella di Telecom Italia nell’ambito di una gara per la fornitura del servizio di invio SMS per Strong Authentication.
Il Gateway SMS Skebby soddisfa i requisiti più stringenti in termini di immediatezza e garanzia di consegna dei messaggi cosi come in termini di personalizzazione dei parametri es. validita del messaggio.
27
Piattaforma SMSIl Gateway di Skebby
Strong Authentication via SMS
• Sistemi avanzati di interfacciamento per sviluppo di automatismi (API) semplicita e rapidita di utilizzo pur con completezza di funzionalita
• Tutti i server, gli switch, e lo storage sono ridondati, nel caso di guasti ad un componente i rimanenti continuano ad erogare il servizio senza interruzione
• Presidio diretto dei sistemi 12 ore/giorno. Appositi applicativi di monitoraggi controllano 24 ore su 24 tutti i processi ed al verificarsi di qualsiasi anomali provvedono ad avvertire un tecnico che interverra entro un’ora
• Più connessioni dirette in fibra ottica con i principali operatori (TIM, Vodafone e Wind) ed i maggiori aggregatori mobili in grado di offrire connessioni SMS ad alta capacita, potenti, rapidissime capaci di recapitare messaggi su qualsiasi apparato terminale di rete mobile in Italia ed in oltre 170 paesi
SLA disponibilita servizio per punto di accesso: 99,7%
SMS alta qualita, ricezione immediata e rapporto di consegna
28
Infrastruttura tecnologicaIl Gateway di Skebby
Strong Authentication via SMS
• L’infrastruttura si basa su di una piattaforma tecnologica proprietaria• Tutta l’infrastruttura hardware di Skebby è collocata presso la web Farm KPNQwest
disposta su un totale di 1140mq. La struttura è adiacente al MIX di Milano in via Caldera: i server in housing sono controllati 24 ore su 24.
• Elevata attenzione a procedure e controlli per garantire massima sicurezza• Procedure di disaster recovery su infrastruttura virtuale garanzia di continuita• Il servizio viene erogato in outsourcing con accesso via Webservice e VPN
SLA disponibilita servizio per punto di accesso: 99,7%
SMS alta qualita, ricezione immediata e rapporto di consegna
29
Integrazione facile e immediataIl Gateway di Skebby
Strong Authentication via SMS
Documentazione SMS Gateway API Esempi di codice e SDK
Moduli CMS/CRM Moduli Esterni
Semplici API SMS Gateway che ti con- sentono di integrare il potente gateway SMS Skebby con la tua applicazione o server web in modo facile e immediato.
All’inteno della pagina sviluppatori del nostro sito puoi trovare codici e SDK che puoi copiare e incollare nei tuoi sistemi per inviare SMS con Skebby
Disponibili moduli per CMS e CRM facilmenteintegrabili per darti la possibilita di cominciare subito ad inviare SMS.
Librerie sviluppate da nostri clienti per i loro sistemi. Accedendo alla pagina sviluppatri puoi scoprire numerosi codici gia pronti e integrabili.
30
Referenze di SkebbyIl Gateway di Skebby
Strong Authentication via SMS
31
SCARICA LA GUIDA COMPLETA sulla
STRONG AUTHENTICATIONVIA SMS
www.skebby.it/risorse-mobile-marketing/
white-paper-sms/